什么是Clickjacking攻击
这个被称为 Clickjacking 的安全威胁,原本要在OWASP NYC AppSec 2008 大会上公布,但包括 Adobe在内的厂商请求暂时不要公开这个漏洞,直到他们开发出安全补丁。
发现这个漏洞的是两个安全研究专家,Robert Hansen 与 Jeremiah Grossman,他们已经略透露了一点相关信息以显示该安全威胁的严重性。
随之而来的还出现了一些Clickjacking的Demo程序。
例如:黑客通过flash小游戏来控制用户的摄像头或麦克风,Adobe对于Flash Player引起的Clickjacking漏洞作出回应,并且官方出了临时解决方案,可以避免被黑客控制你的摄像头或者是麦克风。 到底什么是Clickjacking?看完这里也许你会明白。如果你英文足够好,可以推荐你看一下当时会议的一段视频。
简单的说Clickjacking是一种攻击,是一种新型的WEB方式攻击。上面所涉及到的“Flash Player漏洞”,其实只是Clickjacking安全漏洞一种表现形式。
Clickjacking翻译可以将他拆成click-jacking来理解,click是点击的意思(鼠标点击),jacking应该是劫持的意思(hijacking的缩写?不得而知)。联起来翻译就是“点击劫持”。这里也涉及到了Clickjacking的说法,他们把“Clickjacking”叫做“UI redress vulnerabilities(界面伪装漏洞 )”,这个解释也许更能描述清楚这个漏洞的情况。
在一个已经公布clickjacking的Demo演示程序中我们不难发现clickjacking的内涵。
在你可控制的页面A内有一个iframe,iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0,并设置其 CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的width与height值都设置为足以保证用户可以点击到其中内容(页面B的内容)的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素,这些元素在iframe之下(z-index值决定),并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素。至于页面B内的关键元素是什么,大家想想便知,比如:删除按钮、添加按钮、单选框、请求链接等等。再加上一些社工技巧,这类攻击方式可以进行得非常巧妙。这种攻击基于DHTML技术,用到了iframe,而且这样的攻击方式不一定需要JS。
其实这样的欺骗很早就有了,同样这里罗列出了三种(onMouseUpJacking,FormJacking,SubmitJacking)点击劫持的方法。
如果黑客精心设计clickjacking攻击页面,网页访客进行常规的鼠标点击行为或者无意间的鼠标点击行为,都会有可能点击会激发背后的隐形身影,而这隐形身影包括下载木马或者其他等行为(打开摄像头等)。
防御办法:
首先我们看一下是不是所有浏览器都有问题?Clickjacking and Other Browsers (IE, Safari, Chrome, Opera)这里的测试已经说明了,基本所有的浏览器都不能避免这种Clickjacking攻击。 幸运的是Firefox 3的NoScript(1.8.2以上版本)插件可以防御clickjacking攻击。NosSript为防御Clickjacking特意做出了一种名为ClearClick的保护
所以推荐大家使用Firefox 3+NoScript,可以安心上网。下面推出插件的将会是哪个浏览器呢?maxthon?the world?我们拭目以待。让我们期待OWASP NYC AppSec 2008 大会上可以获得更多细节,毒霸届时也会出相应保护方案。
在新增的病毒、木马中,新增木马数为7801911个,占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%,成为增长速度最快的一类病毒。金山毒霸“云安全”中心统计数据显示,90%的病毒依附网页感染用户。下图是不同类别病毒、木马比例图(图2):
2008年,据金山毒霸“云安全”中心统计数据,全国共有69738785台计算机感染病毒,与07年相比增长了40%,全国各省的计算机病毒感染量如下表(图3) 
博文
